一、前言

移動互聯(lián)網(wǎng)應用程序(Mobile APP，以下簡稱“APP”或“移動APP”)安全早已成為信息安全領(lǐng)域中廣受關(guān)注的熱點話題。作為安全檢測人員，在日常測試工作中經(jīng)常涉及移動APP的安全檢測，在此結(jié)合相關(guān)移動APP檢測標準和工作經(jīng)驗，從滲透測試角度，對移動APP的檢測進行概要性總結(jié)說明。

二、目標分析

移動APP的安全問題與傳統(tǒng)桌面軟件有所不同。雖然現(xiàn)代移動操作系統(tǒng)(如Android和iOS)已比較注重安全防護，但如果APP開發(fā)人員在開發(fā)移動應用程序時不全面仔細地考慮安全性，APP仍可能會存在可被利用的安全漏洞，從而面臨安全威脅。移動APP滲透測試目的就是充分分析和挖掘移動APP和相關(guān)系統(tǒng)存在的安全問題，進而幫助其進行修復，提升安全性，保護用戶信息。

從業(yè)務上來看，在移動APP架構(gòu)中，面臨安全威脅的目標 / 路徑主要有三個，它們分別是：移動APP、數(shù)據(jù)傳輸和服務端。

三、面臨的威脅

1. 客戶端

客戶端(移動APP)主要面臨的威脅包括反編譯、調(diào)試、篡改/重打包、輸入記錄、組件安全、注入和Hook、本地敏感數(shù)據(jù)泄露等。

(1) 反編譯

對一個軟件進行分析可以分為靜態(tài)分析和動態(tài)分析兩大部分。反編譯是靜態(tài)分析的一種基礎(chǔ)手段。高級編程語言源代碼經(jīng)過編譯變成可執(zhí)行文件，反編譯就是其逆過程。通過反編譯和逆向，可以在沒有軟件源碼的情況下了解其內(nèi)部實現(xiàn)細節(jié)，進行漏洞挖掘和算法分析等。移動APP測試，常見的測試對象是Android APP和iOS APP，由于應用結(jié)構(gòu)、構(gòu)建工具鏈等差異，Android APP和iOS APP的逆向分析、反編譯技術(shù)方法均不盡相同。常見的反編譯工具有IDA Pro及相關(guān)Decompiler插件、Radare2 、Ghidra、JD-GUI、Smali/Baksmali、dex2jar、Hopper等等。

(2) 調(diào)試

調(diào)試是軟硬件開發(fā)人員用于排查軟件錯誤的一種手段，也是安全檢測人員進行動態(tài)分析的一種基本方式。從調(diào)試對象來看，調(diào)試可分為硬件調(diào)試和軟件調(diào)試。對于移動APP，安全檢測工程師一般只需進行軟件調(diào)試。軟件調(diào)試又可分為源碼級調(diào)試和非源碼級調(diào)試。在獲取不到源碼的情況下，一般只能先做非源碼級調(diào)試。通過調(diào)試，安全檢測工程師可以動態(tài)地分析APP內(nèi)部原理和行為。移動APP檢測中，常見的APP調(diào)試工具有IDA Pro、GDB、LLDB、ADB、JDB和Cycript等。

(3) 篡改/重打包

Android和iOS應用在正式發(fā)布前需進行數(shù)字簽名，在安裝時系統(tǒng)會對APP簽名進行檢查，檢查通過才能成功安裝運行。這可在一定程度上保護APP不被篡改。但由于簽名驗簽機制很多技術(shù)都是公開的，被研究的比較透徹，再加上不同平臺的簽名機制對APP限制程度各不相同，對安全性要求比較高的APP如果只依靠系統(tǒng)層面的簽名保護進行防篡改/重打包還遠遠不夠。滲透測試過程中，有時我們?yōu)榱烁玫姆治鯝PP，也需要對APP進行修改重打包，然后利用相應平臺的工具進行重新簽名，最后安裝運行。相應的工具有：apktool、apksigner 、signapk、jarsigner和codesign等。

(4) 輸入記錄

當APP在不安全的環(huán)境中運行時，存在用戶輸入被記錄風險。一般可能通過軟硬件鍵盤輸入設備事件或屏幕截取等方式來進行記錄。根據(jù)對APP不同的安全要求，滲透測試中宜需關(guān)注這些風險。

(5) 組件安全

Android組件包括Activity、Broadcast Receiver、Service和Content Provider。若權(quán)限配置不當而導致組件暴露，APP就存在可能被其他應用攻擊或劫持風險，進而導致認證被繞過、敏感數(shù)據(jù)被竊取等。測試過程中，一般可通過對APP進行反編譯，查看AndroidManifest文件或直接掃描查找暴露的組件，分析反編譯的相關(guān)組件代碼，查看是否有安全漏洞并進行驗證。

(6) 注入和Hook

注入和Hook都可對目標APP運行時行為進行修改。雖然我們常常將它們放在一起說，但其實它們的實現(xiàn)原理并不相同。注入是指將一段代碼或一個完整的可執(zhí)行模塊加載到目標程序中，而Hook是指通過劫持程序執(zhí)行流程來改變程序運行行為。不同平臺的APP運行框架和機制不同，這也導致它們的注入和Hook方式不同，但都會通過系統(tǒng)或框架提供的相關(guān)機制和接口進行操作。測試人員可根據(jù)需求尋找Hook點，編寫注入或Hook模塊。常用的相關(guān)工具有l(wèi)ibinject、Xposed、Cydia、fishhook和Frida等。

(7) 本地敏感數(shù)據(jù)泄露

APP的本地存儲數(shù)據(jù)或運行日志有可能會泄露敏感或非敏感數(shù)據(jù)。一般測試人員通過泄露的數(shù)據(jù)，可以去進一步深入理解APP內(nèi)部原理。測試人員可查看APP本地數(shù)據(jù)存儲(特別是會關(guān)注APP是否在公共區(qū)域存儲了數(shù)據(jù))和APP運行日志內(nèi)容，結(jié)合業(yè)務場景綜合分析是否存在本地敏感數(shù)據(jù)泄露風險。常用工具adb、RE、SQLite和ifile等。

2. 數(shù)據(jù)傳輸

APP與服務端進行的網(wǎng)絡數(shù)據(jù)傳輸過程中主要面臨的威脅包括數(shù)據(jù)竊聽、數(shù)據(jù)篡改和數(shù)據(jù)重放等。

(1) 數(shù)據(jù)竊聽

若APP和服務端通信過程中未對傳輸?shù)臄?shù)據(jù)進行機密性保護，數(shù)據(jù)就有可能會被竊聽。例如，很多APP和服務端之間在不安全的傳輸通道中直接使用的HTTP協(xié)議進行通信，若用戶名、口令以及其他重要數(shù)據(jù)未進行加密，這些數(shù)據(jù)在網(wǎng)絡傳輸中的各個節(jié)點就可能會被竊聽而泄露。測試人員應根據(jù)APP業(yè)務場景確認APP的敏感數(shù)據(jù)**、數(shù)據(jù)傳輸通道和協(xié)議，分析是否存在敏感數(shù)據(jù)泄露風險。對安全性要求比較高的APP，例如金融類APP，還要分析其加密方式(如果有)是否安全有效。常用工具有Wireshark、Burpsuite、Fiddler和Charles等。

(2) 數(shù)據(jù)篡改

若APP和服務端通信過程中未對傳輸?shù)臄?shù)據(jù)進行完整性保護，數(shù)據(jù)就有可能會被篡改，使APP更易被結(jié)合其他安全漏洞發(fā)起攻擊。不同的業(yè)務場景下，數(shù)據(jù)篡改帶來的風險高低也不同。測試人員可嘗試對截取到的數(shù)據(jù)進行篡改后發(fā)送，觀察和分析APP或服務端是否可識別出數(shù)據(jù)被篡改并作出合理反應。對安全性要求比較高的APP，比如金融類APP，還要分析其防篡改方式(如果有)是否安全有效。常用工具有Wireshark、Burpsuite、Fiddler和Charles等。

(3) 數(shù)據(jù)重放

重放攻擊是指將之前竊聽到的數(shù)據(jù)原封不動地重新發(fā)送給接收方。這種攻擊通常用于身份認證、交易等過程。例如，對HTTP協(xié)議，測試人員可重復發(fā)送截取到的請求報文，并觀察和分析服務端的反應。常用工具有Wireshark、Burpsuite、Fiddler和Charles等。

3. 服務端

服務端主要面臨的威脅包括不安全的中間件、認證與會話管理、訪問控制、注入、應用層拒絕服務、密碼算法和密鑰管理等。

(1) 不安全的中間件

服務器為提供完整的服務所使用的各個中間件，由于未及時更新或未啟用安全的配置可能引發(fā)安全漏洞，導致服務器存在遭受攻擊的風險，如IIS文件名解析漏洞、Weblogic反序列化漏洞、SMB遠程命令執(zhí)行漏洞等，攻擊者可通過這些漏洞獲取服務器敏感信息、執(zhí)行惡意命令，甚至獲取服務器管理員權(quán)限。

(2) 認證與會話管理

服務器提供的身份認證和會話管理機制存在安全漏洞，如系統(tǒng)關(guān)鍵組件或應用使用弱口令，對于高安全級別的系統(tǒng)未采用雙因子認證方式，無防止認證口令或驗證碼暴力破解攻擊的機制，未對SessionID的生成、過期和銷毀進行安全配置等，攻擊者可利用這些漏洞在非授權(quán)的情況下登錄系統(tǒng)并執(zhí)行惡意操作。

(3) 訪問控制

開發(fā)者未對用戶登錄系統(tǒng)后的操作進行進一步的訪問權(quán)限控制，服務端對從客戶端收到的對數(shù)據(jù)進行增、刪、改、查詢等操作的請求未進行鑒權(quán)處理，導致攻擊者可執(zhí)行超出自身賬戶權(quán)限的操作。

(4) 注入

應用運行時可能需要調(diào)用一些向前端寫入內(nèi)容、查詢數(shù)據(jù)或執(zhí)行系統(tǒng)命令的函數(shù)，如果用戶能控制這些函數(shù)的輸入，而開發(fā)者未對輸入的內(nèi)容進行嚴格的過濾，攻擊者可以在前端提交惡意構(gòu)造的輸入，進行XSS注入、SQL注入、命令注入等攻擊，從而導致服務器重要數(shù)據(jù)泄露或執(zhí)行惡意命令。

(5) 應用層拒絕服務

服務器未對應用的最大連接數(shù)或發(fā)起請求的IP和頻率進行限制，攻擊者通過并發(fā)大量的請求或構(gòu)造畸形的數(shù)據(jù)包，如CC攻擊、Slowloris攻擊，造成系統(tǒng)資源耗盡，導致服務器拒絕服務。

(6) 密碼算法和密鑰管理

應用使用已被證明為不安全的密碼算法對重要數(shù)據(jù)的傳輸和存儲進行加解密，如使用MD5算法對用戶口令進行存儲，使用DES算法對數(shù)據(jù)進行加密傳輸，可能導致攻擊者獲取密文后短時間內(nèi)恢復出明文信息;應用使用不安全的方式進行密鑰管理，如將系統(tǒng)使用的密鑰明文編碼在應用代碼中或在服務器配置文件中明文存儲，將導致攻擊者輕易獲取數(shù)據(jù)加解密密鑰，進而得到加密數(shù)據(jù)的明文信息。

四、APP滲透測試流程

滲透測試的最終目的是幫助目標APP或系統(tǒng)發(fā)現(xiàn)并修復安全漏洞，提升APP或系統(tǒng)安全性。一個優(yōu)秀的滲透測試工程師或團隊首先要有良好的職業(yè)道德，同時也應注意保護自己，其次要有專業(yè)的技術(shù)知識、規(guī)范的測試流程和活躍的思維。下面，我們先介紹一般的APP滲透流程，然后探討下結(jié)合APP，對服務端開展?jié)B透測試的一些思路。

1. 準備階段

定義安全測試的范圍，包括確認適用的安全控制點、受測方的測試目標和敏感數(shù)據(jù)。同時在開展?jié)B透測試前，應拿到被測單位的書面蓋章滲透測試授權(quán)。

2. 信息收集

收集包括APP的環(huán)境、業(yè)務用例和架構(gòu)等信息。其中：

• 環(huán)境信息如APP的業(yè)務功能、行業(yè)分類、開發(fā)或運營組織的基本信息和工作流程等;
• 架構(gòu)信息包括APP本身(如何訪問數(shù)據(jù)和資源、是否檢測自身運行在root或模擬環(huán)境中等)、APP適用的操作系統(tǒng)及版本、與服務端的通信協(xié)議(是否使用安全傳輸協(xié)議、是否有其他安全防護措施等)和遠程服務(APP使用哪些遠程服務、這些遠程服務被攻擊是否會影響APP)等。

這些信息大致分為開發(fā)或運營組織的信息和APP相關(guān)技術(shù)信息兩大類，一般前者可由商務人員負責去收集，后者可由技術(shù)人員收集。

3. 應用描繪

根據(jù)前2個階段收集的資料(亦可通過自動掃描、手動分析APP來進行相應補充)，測試人員已較為全面的了解受測APP的環(huán)境、業(yè)務用例和架構(gòu)等信息，并基本確定了受測APP的滲透測試入口點、收集存儲的數(shù)據(jù)和可能潛在的安全漏洞，即可根據(jù)這些漏洞風險等級高低，對其進行排序，以便測試人員確定滲透測試的攻擊路徑，并制定相應的測試用例。

4. 漏洞利用和測試工具開發(fā)

在此階段，測試人員將嘗試利用前一階段發(fā)現(xiàn)的漏洞，對應用程序進行滲透，以驗證發(fā)現(xiàn)的漏洞是否真實、有效，同時在漏洞驗證過程中可能涉及測試工具、腳本的開發(fā);該階段在APP滲透測試的整個過程中是非常必要和關(guān)鍵的一環(huán)。

5. 提交報告

此階段，測試人員將已經(jīng)驗證后的漏洞形成報告，提交客戶。報告內(nèi)容至少應包括詳細的漏洞名稱、類型、漏洞風險分析、漏洞利用過程和結(jié)果、滲透測試過程中非授權(quán)訪問的數(shù)據(jù)等。

注：不同類型安全檢測除流程上會有差異外，報告內(nèi)容、形式也會有差別，應根據(jù)具體情況具體分析。

五、結(jié)合APP滲透服務端

這一章節(jié)我們主要列舉通過APP以滲透相關(guān)服務端的一些思路。在此，假設測試人員僅被授權(quán)對APP和相關(guān)服務端進行滲透。通常包含5個較為重要的環(huán)節(jié)，分別是：信息收集、網(wǎng)站/服務端滲透、APP功能分析、第三方SDK分析、賬號安全和業(yè)務安全分析。

1. 信息收集

為達成對服務端的攻擊，首先應對服務端進行“定位”。對服務端定位的常用方法有反編譯APP、抓包分析、APP相關(guān)信息搜索、信息匯總分析等，具體如下：

一是反編譯APP。這個過程可能會涉及到對APP進行脫殼等。反編譯后，在反編譯代碼和資源文件中，利用字符串搜索和過濾，搜集所有鏈接等信息。除HTTP/HTTPS鏈接外，還應關(guān)注是否有FTP、登錄憑證(比如郵箱賬號，有些APP會發(fā)Crash信息等到郵箱)等信息。字符串搜索和過濾可以通過寫腳本，或在自動化工具中對掃描規(guī)則進行配置等方式來完成。

二是抓包分析。一般移動APP和服務端通信使用HTTP(S)，可使用抓包工具對傳輸數(shù)據(jù)進行抓包分析。抓包過程中我們可以手動點擊APP中各功能菜單，或利用工具觸發(fā)APP各種功能，通過抓包工具過濾或定制系統(tǒng)等方式盡量排除非受測APP的網(wǎng)絡通信數(shù)據(jù)干擾(有些URL可能是第三方SDK官方地址，非授權(quán)滲透測試目標，應予以過濾)。

三是APP相關(guān)信息搜索。

• 應通過互聯(lián)網(wǎng)廣泛搜索APP相關(guān)信息，若能找到其官網(wǎng)，應將其相關(guān)的官網(wǎng)、論壇的鏈接都搜集整理出來，若授權(quán)許可，亦可將其納入到滲透的目標范圍內(nèi)。
• 尋找該APP的歷史版本，因為若該APP當前版本的安全加固措施做得比較到位，對其進行逆向分析較為復雜，但在某個時間節(jié)點前的歷史版本可能是未加固的。
• 可能會有其他意想不到的發(fā)現(xiàn)。

四是信息匯總分析。通過對收集到的信息綜合篩選分析，形成一個信息集，包括但不限于URL、IP、使用的第三方SDK(下面展開說)等信息。

2. 網(wǎng)站/服務端滲透

這一階段，與傳統(tǒng)的Web滲透過程相同，測試人員通過各種嗅探工具對信息集中的URL、IP進行嗅探和漏掃，以期發(fā)現(xiàn)可能存在的漏洞等，并通過發(fā)現(xiàn)的漏洞(不管0day還是nday)，嘗試獲取服務器的權(quán)限。因本章節(jié)重點是介紹如何結(jié)合APP做服務端滲透，所以這部分不詳細展開。

3. APP功能分析

在信息收集階段，測試人員已基本對APP功能有了一些了解，在這一環(huán)節(jié)，測試人員應實際試用APP，除了試用一些上傳下載、聊天、留言等常用功能外，同時還應關(guān)注其相對冷門的功能，因為功能越冷門，開發(fā)人員對其的關(guān)注就越少，相應的服務端服務存在安全問題的可能性就越大。

4. 第三方SDK做分析

在信息收集環(huán)節(jié)中我們提到若無授權(quán)，測試人員不能隨便對第三方SDK官網(wǎng)開展?jié)B透測試，那為何還要對第三方SDK開展分析呢?原因是很多第三方SDK客戶端和服務端是配套搭建的，有些部署在SDK官方服務端，有些則部署在SDK使用方(也就是APP官方服務端)。許多SDK官方會對其進行詳細的說明，包括功能、部署方式、API等等。對于服務端SDK，測試人員可以將其下載下來(若無法探測到服務端版本號，可根據(jù)收集到的APP業(yè)務上線日期進行推測，并結(jié)合經(jīng)驗和已搜集到的信息，從下載的SDK挑選重要的SDK)，對其進行歷史漏洞搜索(該工作也可在信息收集環(huán)節(jié)開展)、掃描和分析，也許會發(fā)現(xiàn)一些有用的漏洞(0day最好，nday也要試一試，萬一沒補呢?)。

5. 賬號安全和業(yè)務安全

最后，我們再談談賬號安全和業(yè)務安全。這一環(huán)節(jié)在APP功能分析過程中也可能會涉及，其與滲透獲取服務器shell權(quán)限可能沒太大關(guān)系，但其從攻擊者的角度來看卻非常關(guān)鍵，因為大部分攻擊者獲取服務器shell權(quán)限的目的就是為了獲取APP用戶的數(shù)據(jù)或資料，當然也有單純?yōu)榱烁闫茐暮秃诳挽偶嫉那闆r存在。

在這一環(huán)節(jié)，測試人員要詳細分析APP的賬號機制和業(yè)務邏輯，隨著APP官方與黑產(chǎn)對抗的加深，APP的業(yè)務邏輯和身份認證機制可能會做的很復雜。同時如果APP是使用用戶數(shù)量大時間、上線時間比較久，存在賬戶安全問題(爆破、信息泄露、越權(quán)、綁定/換綁邏輯等等)的可能性相對要低很多;同理，越是成熟的業(yè)務，存在安全問題的概率就會越低，所以測試人員可以重點關(guān)注被測APP中可能存在的冷門或新上線業(yè)務。

隨著移動APP安全攻防對抗逐漸加強，對其及相關(guān)服務端開展?jié)B透測試，必然會越來越多的涉及逆向、調(diào)試、數(shù)據(jù)或流量解密等工作(雖然一些邏輯漏洞可通過分析其業(yè)務功能、流程發(fā)現(xiàn)，但實現(xiàn)漏洞利用一般還需進一步逆向和抓包分析)。滲透測試人員和團隊應善于使用、定制或開發(fā)自動化工具輔助檢測以節(jié)省時間和人力。

可以想象，一旦攻擊者借助APP拿下了服務端，就可以反過來批量攻擊APP(或用戶)，從而形成一個攻擊閉環(huán)，且攻擊者能做的事情還遠不止這些!

六、結(jié)束語

以上就是筆者關(guān)于移動APP滲透測試的總結(jié)，希望能幫到大家，但限于知識和技術(shù)水平，會有許多不完善甚至不準確之處，還望多多指正。